漏洞风险提示（20240118）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Google Chrome 类型混淆漏洞(CVE-2024-0519)
一、漏洞描述：
       
        Google Chrome浏览器是一个由 Google（谷歌） 公司开发的网页浏览器。
        Google Chrome JavaScript 引擎存在一个类型混淆漏洞，攻击者可通过诱导受害者访问恶意HTML页面来利用该漏洞，成功利用可能导致浏览器崩溃或执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Chrome for Windows<120.0.6099.224
        Chrome for Windows<120.0.6099.225
        Chrome for linux<120.0.6099.224
        Chrome for mac<120.0.6099.234
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblog.com/

---

2 Citrix NetScaler ADC 与 NetScaler Gateway拒绝服务漏洞(CVE-2023-6549)
一、漏洞描述：
       
        思杰系统公司（Citrix Systems, Inc.）是一家软件和云端运算的科技公司。它的跨国业绩包括提供服务器、软件及桌面虚拟化、网络连结、以及软件即服务（SaaS）等产品。
        Citrix NetScaler 是优化Web 应用交付的综合解决方案。Citrix NetScaler ADC 与 NetScaler Gateway 存在拒绝服务漏洞，当相关设备被配置为网关（如VPN 虚拟服务器、ICA 代理、CVPN、RDP 代理）或 AAA 虚拟服务器时，容易受到DoS攻击，成功利用该漏洞可能导致拒绝服务。
二、风险等级：
        高危
三、影响范围：
        13.0<=Citrix NetScaler Gateway< 13.0-92.21
        13.1<=Citrix NetScaler Gateway<13.1-51.15
        14.1<=Citrix NetScaler Gateway<14.1-12.35
        13.0<=NetScaler ADC< 13.0-92.21
        13.1<=NetScaler ADC<13.1-51.15
        14.1<=NetScaler ADC<14.1-12.35
        12.1-NDcPP<=NetScaler ADC<12.1-55.302
        12.1-FIPS<=NetScaler ADC<12.1-55.302
        13.1-FIPS<=NetScaler ADC<13.1-37.176
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.citrix.com/downloads/

---

3 Ivanti Pulse Connect Secure VPN 远程代码执行漏洞(CVE-2023-46805)
一、漏洞描述：
       
        Ivanti ICS&Ivanti Policy Secure 是 Ivanti 公司提供的终端安全和网络访问控制解决方案。
        Ivanti ICS 9.x、22.x 和 Ivanti Policy Secure 的 Web 组件中存在身份验证绕过漏洞，攻击者可构造恶意请求绕过身份认证，结合相关功能造成远程代码执行。
二、风险等级：
        高危
三、影响范围：
        22.1 <= ivanti connect_secure <= 22.6
        9.0 <= ivanti connect_secure <= 9.1
        22.1 <= ivanti policy_secure <= 22.6
        9.0 <= ivanti policy_secure <= 9.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://forums.ivanti.com/

---

4 VMware 权限绕过漏洞(CVE-2023-34063)
一、漏洞描述：
       
        经过身份验证的恶意行为者可能利用此漏洞，导致对远程组织和工作流的未经授权访问。
二、风险等级：
        高危
三、影响范围：
        5 <= vmware Cloud Foundation < KB96136
        4 <= vmware Cloud Foundation < KB96136
        8.14 <= vmware Aria Automation < 8.14.1 + Patch
        8.13 <= vmware Aria Automation < 8.13.1 + Patch
        8.12 <= vmware Aria Automation < 8.12.2 + Patch
        8.11 <= vmware Aria Automation < 8.11.2 + Patch
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.vmware.com/security/advisories/VMSA-2024-0001.html

---